更改默认端口号实际上会增加安全性吗？

Question

我看过一些建议，说你应该为私有应用程序使用不同的端口号（例如，内部网、私有数据库、任何外人都不会使用的东西）。

我不完全相信可以提高安全性，因为

1. 存在端口扫描器
2. 如果应用程序易受攻击，则无论其端口号如何，它都会如此。

我错过了什么还是我回答了我自己的问题？

Answer 1

它不提供针对有针对性的攻击的任何严重防御。如果您的服务器成为目标，那么正如您所说，他们将端口扫描您并找出您的门在哪里。

但是，将 SSH 从默认端口 22 移开将阻止一些非目标和业余脚本小子类型的攻击。这些是相对简单的用户，他们使用脚本一次对大量 IP 地址进行端口扫描，专门查看端口 22 是否打开，当他们发现端口 22 时，他们将对其发起某种攻击（暴力破解、字典攻击、等等）。如果你的机器在被扫描的 IP 块中，并且它没有在端口 22 上运行 SSH，那么它不会响应，因此不会出现在这个脚本小子攻击的机器列表中。因此，提供了一些低级别的安全性，但仅适用于这种类型的机会主义攻击。

举例来说，如果您有时间 - 在您的服务器上登录潜水（假设 SSH 在端口 22 上）并尽可能取出所有唯一失败的 SSH 尝试。然后将 SSH 移出该端口，等待一段时间，然后再次进行日志潜水。毫无疑问，您会发现更少的攻击。

我曾经在公共网络服务器上运行 Fail2Ban，当我将 SSH 从端口 22 移开时，这真的非常明显。它减少了数量级的机会主义攻击。

Answer 2

保持日志清洁非常有帮助。

如果您看到在端口 33201 上运行 sshd 的尝试失败，您可以安全地假设此人正在针对您，并且如果您愿意，您可以选择采取适当的行动。例如联系当局，调查此人可能是谁（通过交叉引用您注册用户的 IP 或其他）等。

如果您使用默认端口，那么将无法知道是否有人在攻击您，或者只是随机的白痴进行随机扫描。

Answer 3

不，它没有。并不真地。这个术语是默默无闻的安全性，它不是一种可靠的做法。你的两个观点都是正确的。

安全通过朦胧充其量会阻止用户随意尝试，只是四处寻找默认端口知道，在某些时候，他们会发现有人谁离开前门被打开。但是，如果您面临任何严重的威胁，更改默认端口最多只会减慢初始攻击的速度，但由于您已经指出的情况，只能稍微减慢。

帮自己一个忙，让你的端口配置正确，但采取适当的预防措施，用适当的防火墙、授权、ACL 等将它们锁定。

Answer 4

这是一个轻微的默默无闻，但在黑客攻击的道路上并不是一个显着的减速带。这是一个更难支持长期配置的配置，因为必须告知与该特定服务通信的所有内容有关不同端口的信息。

曾几何时，为了避免网络蠕虫，这是一个好主意，因为那些往往只扫描一个端口。然而，快速繁殖蠕虫的时代已经过去了。

Answer 5

正如其他人指出的那样，更改端口号并不能为您提供太多安全性。

我想补充一点，更改端口号实际上可能会损害您的安全。

想象一下下面的简化场景。一个破解者扫描 100 台主机。其中 99 台主机在这些标准端口上提供服务：

Port    Service
22      SSH
80      HTTP
443     HTTPS

但是有一个主机从人群中脱颖而出，因为系统所有者试图混淆他们的服务。

Port    Service
2222    SSH
10080   HTTP
10443   HTTPS

现在，这对破解者来说可能很有趣，因为扫描表明两件事：

1. 主机的所有者试图隐藏其系统上的端口号。也许所有者认为系统上有一些有价值的东西。这可能不是一个普通的系统。
2. 他们选择了错误的方法来保护他们的系统。管理员错误地相信端口混淆，这表明他们可能是一个缺乏经验的管理员。也许他们使用端口混淆来代替适当的防火墙或适当的 IDS。他们也可能犯了其他安全错误，并且可能容易受到其他安全攻击。现在让我们进一步探讨一下，好吗？

如果你是一个破解者，你会选择看看 99 台在标准端口上运行标准服务的主机中的一台，还是这台使用端口混淆的主机？

Answer 6

我将违背总体趋势，至少部分是这样。

就其本身而言，更改到不同的端口可能会让您在搜索它时获得几秒钟的时间，因此实际上并没有给您带来任何好处。但是，如果您将非标准端口的使用与反端口扫描措施结合起来，它可以真正增加安全性。

这是适用于我的系统的情况：非公共服务在非标准端口上运行。任何从一个源地址连接到两个以上端口的连接尝试，无论成功与否，在指定的时间内都会导致来自该源的所有流量都被丢弃。

要打败这个系统，要么需要运气（在被阻塞之前命中正确的端口）或分布式扫描，这会触发其他措施，或者需要很长时间，这也将被注意到并采取行动。

Answer 7

在我看来，移动应用程序运行的端口根本不会增加安全性 - 仅仅是因为相同的应用程序正在不同的端口上运行（具有相同的优势和劣势）。如果您的应用程序存在弱点，将其侦听的端口移至其他端口并不能解决该弱点。更糟糕的是，它积极鼓励您不要解决弱点，因为现在它不会被自动扫描不断地敲打。它隐藏了真正应该解决的问题。

一些例子：

• “它会清理日志” - 那么你处理日志的方式就有问题。
• “它减少了连接开销” - 开销要么微不足道（就像大多数扫描一样），要么你需要在上游完成某种过滤/拒绝服务缓解
• “它减少了应用程序的暴露” - 如果您的应用程序无法承受自动扫描和利用，那么您的应用程序存在严重的安全缺陷需要解决（即，对其进行修补！）。

真正的问题是管理：人们期望 SSH 为 22，MSSQL 为 1433，依此类推。移动这些是更复杂的一层和所需的文档。坐在网络前并且不得不使用 nmap 来找出东西被移动到哪里是非常烦人的。安全性的增加充其量只是短暂的，缺点也不是微不足道的。不要这样做。解决真正的问题。